公務員期刊網(wǎng) 論文中心 正文

無線網(wǎng)絡安全開發(fā)平臺設計

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了無線網(wǎng)絡安全開發(fā)平臺設計范文,希望能給你帶來靈感和參考,敬請閱讀。

無線網(wǎng)絡安全開發(fā)平臺設計

0引言

隨著無線網(wǎng)絡技術的不斷成熟與發(fā)展,無線網(wǎng)絡安全問題也日益突出,本文主要從用戶認證和數(shù)據(jù)加密兩方面出發(fā),研究設計了無線網(wǎng)絡安全開發(fā)平臺。通過用戶認證保證重要數(shù)據(jù)僅有授權用戶才可以對其進行訪問,而數(shù)據(jù)加密則保證發(fā)出的數(shù)據(jù)只能被所期望的用戶所接收和理解。WPKI作為一個開放的標準,可以解決無線網(wǎng)絡安全保密問題。本文在此基礎上,研究設計了以下無線網(wǎng)絡安全開發(fā)平臺。

1認證技術與加密技術

從當前的各種無線安全技術來看,不管是傳統(tǒng)無線網(wǎng)的接入安全,還是802.1X,整個安全體系的核心就是認證技術和加密技術。

1.1認證技術

認證技術主要包括終端對網(wǎng)絡、網(wǎng)絡對終端以及終端對終端的認證,其主要作用就是保障用戶能夠安全入網(wǎng),保障網(wǎng)絡安全等。具體來講主要有以下幾種安全認證:①口令認證??诹钫J證的基本原理就是為每個用戶設置一個獨特的標識(ID)和口令,用戶只有通過此ID和口令才能夠進入系統(tǒng),這樣就能夠保障用戶在經(jīng)過系統(tǒng)驗證其信息合法性之后再進入網(wǎng)絡。②基于常規(guī)加密算法的認證。這一方式需要在一個可信的密匙分配中心(KDC)的協(xié)助下實現(xiàn),網(wǎng)絡中通信各方與KDC共享一個密匙,我們將這個密匙稱為主密匙,此外,KDC為通信雙方提供的短期通信密匙,我們將其稱之為會話密匙,在這二者之間,主密匙對會話密匙的產(chǎn)生起到保護作用。③基于公開密鑰算法的認證。這種認證方式下,單向認證只需要在知道雙方公鑰的基礎上,利用公開密鑰體制中的數(shù)字簽名算法就能夠?qū)崿F(xiàn),而雙向認證需要通過使用認證服務器AS,AS就好比是一個公鑰管理機構,它可以為其提供公鑰證書,其中一方通過AS可以獲得另一方的公鑰。通過這種認證方式能夠更好的實現(xiàn)認證。目前的無線局域網(wǎng)與移動通信網(wǎng)絡都使用了這種認證方式。

1.2加密技術

加密技術是最基本的安全措施,它主要是用來保障數(shù)據(jù)在傳輸過程中,避免出現(xiàn)被竊聽和篡改等現(xiàn)象,從而保障數(shù)據(jù)的完整性和機密性。從整個密碼系統(tǒng)來看,主要有對稱密鑰系統(tǒng)(也叫做私鑰密碼系統(tǒng))和非對稱密鑰系統(tǒng)(也叫做公鑰密碼系統(tǒng))兩種。其中,DES、IDEA、AES等都屬于對稱加密算法,而在非對稱密鑰系統(tǒng)中,RSA是第一個較完善的公鑰系統(tǒng),目前比較先進的是被稱為橢圓曲線(ECC)的非對稱加密系統(tǒng),它的優(yōu)勢在于能夠節(jié)省存儲空間、處理時間、帶寬,而且還能夠達到未來的更高安全性要求。

2無線安全技術核心WPKI的技術原理

PKl是一種基于在密碼學的,通過使用公開密鑰技術和數(shù)字證書,來保障系統(tǒng)信息安全并驗證數(shù)字證書持有者身份的一種安全基礎設施。但是由于其自身缺陷,如其使用的RSA等算法的計算速度較慢,X.509證書占用空間較大等,導致其不能很好的解決其無線網(wǎng)絡的安全問題。2000年,WPKI作為一個開放的標準,解決了這一問題。WPKI主要解決管理電子商務的策略問題和通過WTLS和WMLSCrypt為無線應用環(huán)境提供安全服務,其主要技術組件和操作流程:我們可以看出,WPKI的主要技術組件包括E(E終端應用程序)、RA(注冊機構)、PKI目錄、CA(證書機構)、PKI入口。其中,EE是在WMLSCryptAPI提供的密鑰服務和加密操作下運行的。

3無線網(wǎng)絡安全開發(fā)平臺設計

本文所設計的無線網(wǎng)絡安全開發(fā)平臺力求能夠讓全部的無線網(wǎng)絡通信安全產(chǎn)品都可以通過這一平臺上實現(xiàn)。因此,在設計過程中,我們增加了協(xié)議處理模塊、非PKI加密和認證機制的支持模塊,從而能夠保障各種安全機制都有可插入的接口。為本文設計的無線網(wǎng)絡安全開發(fā)平臺框架圖。,其整體模塊較之WPKI安全開發(fā)平臺,增加了訪問控制和插件支持兩個功能(圖2中的藍色框),其中,訪問控制功能設置的主要目的,是考慮到了無線局域網(wǎng)的接入安全中,都普遍使用到了訪問控制,如802.1X的端口控制;而插件支持功能設置的主要目的是為各種插件提供可以使用的接口,以保障它們能夠在此安全平臺上使用。本設計中的無線網(wǎng)絡開發(fā)平臺,在TCP/IP網(wǎng)絡模型中分為六層,分別是應用層、傳輸層、網(wǎng)絡層、數(shù)據(jù)鏈路層、MAC層、物理層。其程序結(jié)構中,用戶界面和控制界面都在應用層,鏈路數(shù)據(jù)層主要是實現(xiàn)了申請者與認證者間,二者的認證數(shù)據(jù)傳輸,可以支持EAP認證,收發(fā)信息的格式為802.1X中EAPOL,申請者發(fā)出數(shù)據(jù)信息,經(jīng)過認證者的接收與重封之后,再轉(zhuǎn)發(fā)到認證服務器,反過來亦是如此,軟件實現(xiàn)的分層示意。

4無線網(wǎng)絡安全開發(fā)平臺的實現(xiàn)

關于本無線網(wǎng)絡安全開發(fā)平臺的具體實現(xiàn),本文以電子商務支付系統(tǒng)在此平臺上的開發(fā)為例,進行驗證。為了能夠?qū)崿F(xiàn)本平臺的安全性特點,支付系統(tǒng)后臺服務程序以通用數(shù)據(jù)安全體系為基礎,使用通用無線網(wǎng)絡安全開發(fā)平臺中的加密技術等,來保障支付系統(tǒng)的安全性。以無線網(wǎng)絡安全開發(fā)平臺為基礎的安全支付系統(tǒng)主要包含以下三個支付流程:①客戶端操作。首先,電子錢包(eWallet)匯集客戶的訂購信息(主要包含訂購數(shù)量、時間等)和支付信息(主要包含訂購金額、密碼等),然后再使用通用數(shù)據(jù)安全體系API生成信息摘要,用PG的加密證書對支付信息做數(shù)字信封,通過私鑰,借助信息摘要算法做數(shù)字簽名,最后,電子錢包將以上信息封裝,傳給POS。為其信息格式:②POS操作。通過第一步的客戶操作之后,POS首先會驗證數(shù)據(jù)項A的數(shù)字簽名,對數(shù)據(jù)項c中的訂購信息做摘要算法,從而得到Hash(Orderlnfo),并將其與A中數(shù)據(jù)作對比,如果兩者的結(jié)果是一致的,那么說明數(shù)據(jù)是完整的,并沒有被篡改過,然后POS通過Body來了解訂購信息,而支付信息的數(shù)字信封只可以通過PG解開。最后,POS再將以上信息進行重封,傳給PG。③PG操作。通過第二步的POS操作之后,PG首先驗證數(shù)據(jù)項A的數(shù)字簽名,對B項中的支付信息做摘要算法,從而得到Hash(Paylnfo),結(jié)合第二步操作進行比較驗證來確定訂購信息與支付信息是否被篡改過,最后,PG根據(jù)支付信息做好處理之后,通知銀行劃款。從這以上三個步驟來看,服務器、中間網(wǎng)關、客戶端的開發(fā)工作中,其安全傳輸?shù)汝P于安全方面的操作,基本上都是由無線網(wǎng)絡安全平臺實現(xiàn)的,只需要有接口與之相連即可。

5結(jié)論

綜上所述,本文從無線網(wǎng)絡開發(fā)平臺構建的需要入手,在分析了其用戶認證和數(shù)據(jù)加密兩方面的特點之后,具體設計了該無線網(wǎng)絡安全開發(fā)平臺,并對其可行性通過電子支付系統(tǒng)進行了具體的驗證。

作者:宋長軍 白永祥 單位:渭南職業(yè)技術學院